Panorama / Descoberta
Relatos publicados descrevem que o novo módulo, identificado como exploit/linux/http/fortinet_fortiweb_rce, encadeia primeiro uma falha de bypass de autenticação (CVE‑2025‑64446, CVSS 9.1) para provisionar um administrador e em seguida explora uma falha de injeção de comandos no API/CLI (CVE‑2025‑58034, CVSS 7.2) para executar comandos no sistema como root. A liberação do módulo acompanha relatos de exploração ativa e de “silent patches” e bypasses que deixaram appliances expostos.
Abordagem técnica
Conforme análise disponível, CVE‑2025‑64446 envolve uma combinação de path traversal e tratamento inadequado do cabeçalho CGIINFO, que permite ao atacante, sem autenticação, situar‑se no contexto do executável fwbcgi e criar uma conta administrativa falsa. Com credenciais administrativas já estabelecidas, o módulo então desencadeia CVE‑2025‑58034, uma vulnerabilidade de command injection no API/CLI que não neutraliza corretamente elementos especiais em comandos do sistema.
O módulo Metasploit automatiza o fluxo: ele pode, por padrão, executar a fase de bypass para provisionar um administrador aleatório e então usar essas credenciais para acionar o comando que ganha shell com uid=0 (root). Alternativamente, se o atacante já dispuser de credenciais válidas, é possível pular a fase de bypass e explorar diretamente CVE‑2025‑58034.
Técnicas adicionais empregadas pelo módulo incluem o upload em partes (chunked upload) de um “bootstrap payload” — o código é transferido em múltiplos pedaços (por exemplo, 4 chunks) que depois são combinados e executados, método pensado para garantir execução mesmo em ambientes restritos do appliance.
Produtos e versões afetadas
As publicações indicam uma lista parcial de versões afetadas associada a cada CVE: para CVE‑2025‑64446, FortiWeb nas versões 7.4.0‑7.4.4, 7.6.0‑7.6.4 e 8.0.0‑8.0.1; para CVE‑2025‑58034, FortiWeb 8.0.0‑8.0.1. As matérias apontam que a Fortinet liberou atualizações e aconselham atualização para FortiWeb 8.0.2 ou superior imediatamente.
Impacto e mitigação operacional
Exploração bem‑sucedida confere ao atacante controle total do dispositivo (shell com uid=0), o que pode comprometer disponibilidade e integridade do WAF e permitir movimentos laterais na rede. As fontes destacam que, por permitir a criação silenciosa de administradores, CVE‑2025‑64446 torna simples a persistência e pode exigir auditoria além da aplicação do patch: simplesmente atualizar o software pode não limpar contas administrativas criadas antes da correção.
As matérias recomendam — com base nas comunicações e análises citadas — que equipes de segurança: a) apliquem patches fornecidos pelo fornecedor (upgrade para 8.0.2+ quando disponível); b) auditem listas de usuários em busca de contas desconhecidas; e c) revejam logs para requisições a /api/v2.0/cmdb/system/admin originadas de IPs não confiáveis.
Limites das informações
As publicações consultadas relatam a disponibilidade do módulo Metasploit e análises técnicas de terceiros (por exemplo, watchTowr e Rapid7), mas não apresentam contagens públicas de dispositivos comprometidos em campo nem atribuições de atores. Também não foram divulgados, nas matérias, indicadores de compromisso extensivos (IoCs) que pudessem ser importados diretamente em ferramentas de detecção.
Resumo técnico
- CVE‑2025‑64446 — Auth bypass / Path traversal — CVSS 9.1 — Afeta FortiWeb 7.4.0‑7.4.4, 7.6.0‑7.6.4, 8.0.0‑8.0.1.
- CVE‑2025‑58034 — OS command injection — CVSS 7.2 — Afeta FortiWeb 8.0.0‑8.0.1.
As informações públicas enfatizam a criticidade da cadeia de exploração e a necessidade de aplicar correções e realizar auditoria de contas e logs para detectar possíveis compromissos pré‑correção.